Appleは狡猾なところがあります。Googleに聞いてみてください。しかし、ここで私が言いたいのは、企業同士のやり合いについてではありません。むしろ、FileVault 2とiCloudの「Macを探す」サービスを組み合わせて泥棒を罠にかけるMac OS Xのトリックについてです。具体的には、OS X 10.7.2(Lion)には、一見Macを起動するための合理的な方法を提供しながら、その後に自宅に電話をかけることで、悪党をおびき寄せるオプションが用意されています。
FileVault 2の完全ガイドで説明したように、FileVault 2を使用すると、Lionユーザーは起動ドライブ全体を暗号化できます。FileVaultが有効になっているMacを起動または再起動すると、特別なログイン画面が表示されます。この画面を通過できるのは、承認されたユーザーアカウントのみです。承認されたアカウント名とパスワードを入力すると、暗号化されたキーがロック解除され、Macは起動ドライブから再起動します。
Appleは、Lionのインストールプロセス中に作成される起動ドライブの不可視パーティションであるRecovery HDを、裏で活用しています。このパーティションは、緊急時と日常的な作業の両方に使用されます。FileVault 2はLionディスクのメインパーティションのみを暗号化し、暗号化されていないRecovery HDパーティションは前述の入力画面の処理に使用されます。
Lion 10.7.2の新機能
FileVaultに関する私の最初の記事は、Mac OS X 10.7.1を使って調査・執筆しました。記事公開後まもなく、AppleはOS X 10.7.2をリリースしました。このバージョンには、FileVaultにいくつかの重要な変更が加えられているほか、新しい「Macを探す」機能との連携も向上しています。これらの変更点の一つとして、FileVault入力画面に「ゲストユーザー」オプションが追加されました。このオプションは、MacをOS X 10.7.2で起動し、iCloud(システム環境設定のiCloudパネル)にログインした場合にのみ表示されます。
ゲストユーザーオプションを選択すると、システムが再起動し、Lion Recoveryの「オンラインヘルプ」モードの一種が起動します。以前に近くのワイヤレスネットワークに接続し、ネットワークパスワードを保存するように設定している場合は、自動的にそのネットワークに再接続されます。それ以外の場合は、接続するネットワークを選択できます。いずれの場合も、Safariウィンドウが目の前に表示された状態でインターネットに接続しています。(このモードとLion Recoveryの「オンラインヘルプ」モードの違いは、FileVaultの「ゲストユーザー」オプションでは、Appleメニューの「起動ディスク」オプションを使って別のディスクを選択できず、Safariを終了してLion Recoveryの他の機能にアクセスできないことです。)
先に進む前に、舞台裏で何が起こっているのかを理解しておくと役に立つ。通常の使用時には、Lion は特定の設定を Recovery HD にコピーする。これには、FileVault 認証アカウントの情報やパスワード検証、接続してパスワードを保存するように選択した Wi-Fi ネットワークのパスワードなどがある。(Wi-Fi パスワードを保存する理由は、そうすることで Lion Recovery を使用して Lion を再インストールしたり、標準の Get Help Online モードを使用したりするのが簡単になるからだ。どちらもインターネット接続が必要になるためだ。) しかし OS X 10.7.2 では、Lion は iCloud の認証情報や Find My Mac 機能の状態 (有効か無効か) も Recovery HD に保存する。
これらをまとめると、誰かがゲストユーザー機能を使ってあなたの Mac を使用しているときはいつでも、あなたの Mac はインターネットに接続し、iCloud アカウントに非表示でログインし、「Mac を探す」であなたの位置情報を報告できることになります。これは Apple が私たちのために巧妙にやっていることだと私は信じています。誰かが FileVault で保護された Mac を盗んで起動した場合、どのユーザーアカウントにもアクセスできないため、ゲストユーザーアカウントで起動してデータにアクセスできるかどうかを確認したり、単にドライブを消去しようとしたりする誘惑に駆られます。Wi-Fi ネットワークに接続するとすぐに (これは自動的に行われることもあります。たとえば、以前に AT&T/スターバックスのアクセスポイントを使用していた場合、次にスターバックスの範囲内に入ったときに Mac が自動的に接続します)、コンピュータの位置が明らかになり、iCloud からメールアラートが送信され、「Mac を探す」を使用してリモートメッセージ、ロックコマンド、またはワイプコマンドを送信できるようになります。
(もちろん、これは、善意の人があなたの紛失した MacBook を見つけた場合にも役立ちます。彼らはおそらく、あなたに連絡を取るのに役立つ情報がないか探すために MacBook を起動しようとするでしょう。バックグラウンドでは、あなたの Mac が彼らに代わってその作業を行っています。)
Macが既に起動している場合でも、ある程度の保護が得られます。まず、FileVaultを有効にすると、システム環境設定の「セキュリティとプライバシー」にある「スリープまたはスクリーンセーバー開始時にパスワードを要求する」オプションが自動的に有効になり、自動ログインが無効になります。(実際、FileVaultがオンになっていると自動ログインを有効にすることすらできません。)つまり、あなたのMacを入手した人は誰でもMacを使用できなくなり、再起動を試みる可能性が高くなります。そして、前述の起動シーケンスと、いわゆる「ゲストユーザー」の罠に陥ってしまうのです。
また、同じ設定画面で「鍵アイコン付きのシステム環境設定にアクセスするには管理者パスワードが必要」を有効にすることもお勧めします。これにより、ロック解除されたMacを偶然見かけたとしても、有効な管理者アカウントを持っていない限り、システムレベルの設定を変更できなくなります。
また、「画面がロックされているときにメッセージを表示する」オプションを有効にし、テキストボックスに連絡先情報を入力してください。このテキストはロック画面とログイン画面だけでなく、FileVaultの最初のログイン画面にも表示されるため、善意の人物や罪悪感に苛まれる窃盗犯があなたに連絡を取る手段を与えてしまいます。最後に、「画面がロックされているときにSafariへの再起動を無効にする」オプションが無効になっていることを確認してください。このオプションを有効にすると、起動時にゲストユーザーオプションが表示されなくなります。
Macを探すのオプション
Macを紛失した場合、または盗難に遭った場合は、すぐに「Macを探す」にログインしてください(iCloudウェブサイトまたはiOSアプリ「iPhoneを探す」からアクセスできます)。Macがすぐに見つかるかどうかに関わらず、「Macを探す」のオプション(「サウンドを再生」または「メッセージを送信」、「リモートロック」、「リモートワイプ」)を選択できます。Macが見つかった場合は、すぐにアクションが実行されます。見つからない場合は、Macが次にインターネットに接続した瞬間にアクションが実行されます。
ヒント:Macの位置がすぐに見つからない場合は、デバイスリストでMacの横にある青い情報ボタン([ i ])をタップし、「見つかったらメールを送信」ボタンをオンにしてください。この設定を有効にすると、Macがインターネットに接続するとすぐに、iCloudからiCloudメールアドレスにメールが届きます。その後、「Macを探す」にログインして、Macの位置を確認できます。
「サウンドを再生」または「メッセージを送信」オプションは、Mac を信頼できる環境に置いたことがわかっていて、友好的な人に警告したい場合に主に役立ちます。Mac を誰が持っているか、またはどのようなアクセス権を持っているかわからない状況では、リモートロックオプションの方が適しています。このオプションでは、コマンドを受信するとすぐにコンピュータが再起動し、アクセスに 6 桁のパスコード (iCloud.com からコマンドを発行した場合) または 4 桁のパスコード (iOS アプリを使用した場合) が要求されます。Apple はここでも逃亡者を騙し続けています。FileVault 2 が有効になっている状態でリモートロック後に Mac が再起動すると、「ゲストユーザー」オプションは無効になりますが、コンピュータは引き続き既知の Wi-Fi ネットワークに自動的に接続し、位置情報を送信します。
リモートワイプコマンドは、もちろん最後の手段です。このコマンドは、暗号化されたボリュームのキーを消去することでブートドライブの内容を瞬時に破壊し、ドライブの内容を利用不能にします。ただし、これは重要な注意点ですが、リモートロックオプションを使用すると、リモートワイプアクションは使用できなくなります。慎重に選択してください。
コンピュータがネットワークアクセスを取得し、Recovery HDシステムがiCloudと通信を開始するとすぐに、コンピュータのおおよその位置が特定されます。近くのWi-Fiネットワークから特定された位置は「Macを探す」に表示され、実行した操作は即座に実行されます。位置が判明した後、もしそれが信頼できる場所でない場合は、特にコンピュータが悪質な人物の手に渡っていると疑われる場合は、警察署への通報が次のステップとなるでしょう。
セキュリティを念頭に置いて
私はこの記事全体を通じて Apple の狡猾さについて冗談を言っているが、それは FileVault のゲスト ユーザー オプションが、ラップトップを操作している人が気付かないように、コンピューターがその場所を iCloud の Find My Mac サーバーに、つまりあなたに報告できるように決定的に設計されているからだ。
しかし、FileVaultのゲストユーザー機能は、アカウント(つまりコンピュータ上のあらゆる情報へのアクセス)を他人に与えることなく、基本的なウェブ閲覧のみを許可する手段でもあります。実際、FileVaultは、システム環境設定の「ユーザーとグループ」パネルにある通常のゲストオプションを無効にします。このオプションを使うと、ゲストは一時的なアカウントを使用してアプリケーションやドライブのパブリック領域にアクセスできます。ファストユーザースイッチを有効にすると、このオプションで通常のアカウント(複数可)にログインしたままにすることもできます。FileVaultのゲストユーザーは、起動ドライブに完全にアクセスできなくなり、ゲストユーザーにSafariのみへのアクセスを許可するため、セキュリティが大幅に向上します。
しかし、ほとんどの人にとって、ここでの主なメリットは、データの安全性を確保し、紛失または盗難されたコンピュータを見つけるのに役立つことです。Appleは「Find My Mac」の追跡機能をあまり宣伝したがりません。窃盗犯があまりにも注意を払いすぎると効果が薄れてしまう可能性があるからです。しかし、コンピュータを盗む人のほとんどは、マーケティング資料やMacworldを熱心に読んでいるわけではないでしょう(皆さん、私の考えが間違っていることを証明してください)。備えあれば憂いなしです。盗まれたコンピュータは、私たちが思っているよりも簡単に回収できるかもしれません。
[シニアコントリビューターのグレン・フライシュマンは、自分のデータを盗もうとする者たちについて恐ろしい考えを抱いています。彼は『Take Control of Your 802.11n AirPort Network』の著者であり、最近Lion向けにアップデートされました。 ]
